一种安全通信方法和系统
阅读:850发布:2020-05-08
专利汇可以提供一种安全通信方法和系统专利检索,专利查询,专利分析的服务。并且本公开提供一种安全通信方法和系统,涉及 计算机网络 领域,能够解决相关技术中存在的通信安全问题。本公开 实施例 提供的安全通信方法,包括:前置服务 节点 登录虚拟专用网络VPN 服务器 ;所述前置服务节点通过所述VPN服务器连接消息队列MQ服务器;所述前置服务节点通过所述MQ服务器与主服务器进行通信。对应的,本 发明 还提供一种安全通信系统。通过本发明实施例提供的安全通信方法和系统,可以提升通信网络及数据传输的安全性。,下面是一种安全通信方法和系统专利的具体信息内容。
1.一种安全通信方法,其特征在于,所述方法包括:前置服务节点登录虚拟专用网络VPN服务器;所述前置服务节点通过所述VPN服务器连接消息队列MQ服务器;所述前置服务节点通过所述MQ服务器与主服务器进行通信。
2.根据权利要求1所述的方法,其特征在于,所述前置服务节点通过所述MQ服务器与主服务器进行通信,包括:所述主服务器向所述MQ服务器推送报文,所述前置服务节点通过所述VPN服务器监听所述MQ服务器的消息队列获取报文。
3.根据权利要求1所述的方法,其特征在于,所述前置服务节点通过所述MQ服务器与主服务器进行通信,包括:所述前置服务节点通过所述VPN服务器向所述MQ服务器推送报文,所述主服务器监听所述MQ服务器的消息队列获取报文。
4.根据权利要求1所述的方法,其特征在于,所述主服务器单向与所述MQ服务器通信;
所述前置服务节点通过所述VPN服务器单向访问所述MQ服务器。
5.根据权利要求1所述的方法,其特征在于,所述前置服务节点登录虚拟专用网络VPN服务器之前,所述方法还包括:
所述前置服务节点向所述VPN服务器发送安全认证请求。
6.一种安全通信系统,其特征在于,包括:前置服务节点、虚拟专用网络VPN服务器、消息队列MQ服务器和主服务器;所述前置服务节点用于登录所述VPN服务器,并通过所述VPN服务器于连接所述MQ服务器;所述前置服务节点用于通过所述MQ服务器与主服务器进行通信。
7.根据权利要求6所述的系统,其特征在于,所述前置服务节点用于通过所述MQ服务器与主服务器进行通信,包括:所述主服务器用于向所述MQ服务器推送报文,所述前置服务节点用于通过所述VPN服务器监听所述MQ服务器的消息队列获取报文。
8.根据权利要求6所述的系统,其特征在于,所述前置服务节点用于通过所述MQ服务器与主服务器进行通信,包括:所述前置服务节点用于通过所述VPN服务器向所述MQ服务器推送报文,所述主服务器用于监听所述MQ服务器的消息队列获取报文。
9.根据权利要求6所述的系统,其特征在于,所述主服务器单向与所述MQ服务器通信;
所述前置服务节点通过所述VPN服务器单向访问所述MQ服务器。
10.根据权利要求1所述的系统,其特征在于,所述前置服务节点还用于,在登录虚拟专用网络VPN服务器之前向所述VPN服务器发送安全认证请求。
一种安全通信方法和系统
技术领域
背景技术
[0003] 多银行财资系统的主体功能一般基于浏览器/服务器(Brower/Server,简称B/S)架构实现,主服务器一般部署在银行数据中心,是内网环境;用户可以通过浏览器访问并进行财资管理相关业务操作。客户对多家银行账户的交易操作需要通过部署在客户侧的前置服务节点调用各家银行的银企直联接口。客户侧前置服务节点需要与部署在银行内网环境的主服务器进行通信,接收交易请求,根据请求内容发起对各家银行银企直连接口的调用,并将交易结果反馈给主服务器。
[0004] 实现如上需求相关技术中提出的解决方案通常是客户侧前置服务节点作为服务端,启动监听,接收主服务器向客户侧前置服务节点发送服务请求。由于客户侧网络环境复杂,而且安全机制通常不够完善,容易遭受攻击;此外,这种方案通常没有对网络传输数据安全进行特殊处理,客户侧前置服务节点与主服务器之间的通信报文容易被截取或篡改,往往不能满足系统的安全需求。发明内容
[0005] 本公开实施例提供一种安全通信方法及装置系统,能够解决前置服务节点和主服务器之间的通信安全问题。所述技术方案如下:
[0006] 根据本公开实施例的第一方面,提供一种安全通信方法,该方法包括:前置服务节点登录虚拟专用网络VPN服务器;所述前置服务节点通过所述VPN服务器连接消息队列MQ服务器;所述前置服务节点通过所述MQ服务器与主服务器进行通信。通过该安全通信方法,客前置服务节点只有登录到VPN服务器,才能通过VPN服务器连接处于MQ服务器;VPN虚拟专用网络具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点传送数据。
[0007] 在一些实施例中,前置服务节点通过所述MQ服务器与主服务器进行通信,包括:所主服务器向所述MQ服务器推送报文,所述前置服务节点通过VPN服务器监听所述MQ服务器的消息队列获取报文。
[0008] 在一些实施例中,前置服务节点通过所述MQ服务器与主服务器进行通信,包括:所述前置服务节点通过所述VPN服务器向所述MQ服务器推送报文,所述主服务器监听所述MQ服务器的消息队列获取报文内容。前置服务节点以监听MQ服务器消息队列的方式获取交易报文,主动发起服务请求,避免了其作为服务端可能存在的风险。
[0009] 在一些实施例中,主服务器单向与所述MQ服务器通信;所述前置服务节点通过所述VPN服务器单向访问所述MQ服务器。
[0010] 在一些实施例中,前置服务节点登录虚拟专用网络VPN服务器之前,所述方法还包括:所述前置服务节点向所述VPN服务器发送安全认证请求。
[0011] 根据本公开实施例的第二方面,提供一种安全通信系统,包括前置服务节点、虚拟专用网络VPN服务器、消息队列MQ服务器和主服务器;所述前置服务节点用于登录所述VPN服务器,并通过所述VPN服务器于连接所述MQ服务器;所述前置服务节点用于通过所述MQ服务器与主服务器进行通信。
[0012] 在一些实施例中,前置服务节点用于通过所述MQ服务器与主服务器进行通信,包括:所述主服务器用于向所述MQ服务器推送报文,所述前置服务节点用于通过所述VPN服务器监听所述MQ服务器的消息队列获取报文。
[0013] 在一些实施例中,前置服务节点用于通过所述MQ服务器与主服务器进行通信,包括:所述前置服务节点用于通过VPN服务器向所述MQ服务器推送报文,所述主服务器用于监听所述MQ服务器的消息队列获取报文。
[0014] 在一些实施例中,主服务器单向与所述MQ服务器通信;所述前置服务节点通过所述VPN服务器单向访问所述MQ服务器。在一些实施例中,前置服务节点还用于,在登录虚拟专用网络VPN服务器之前向所述VPN服务器发送安全认证请求。
[0015] 通过本公开实施例提供的安全通信方法和系统,前置服务节点登录虚拟专用网络VPN服务器后通过所述VPN服务器连接消息队列MQ服务器,通过所述MQ服务器与主服务器进行通信,使双方能进行自由而安全的传送数据;解决了由于客户侧网络环境复杂且安全机制不完善导致的前置服务节点安全隐患,提升了前置服务节点与主服务器之间网络通信过程中数据传输的安全性。
[0018] 图1是本公开实施例提供的一种安全通信系统的示意图;
[0019] 图2是本公开实施例提供的一种安全通信方法的流程图;
[0020] 图3是本公开实施例提供的一种数据传输方法的流程图;
[0021] 图4是本公开实施例提供的另一种数据传输方法的流程图。
具体实施方式
[0022] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0023] 图1是本公开实施例提供的一种安全通信系统,如图所示,安全通信系统100包括:前置服务节点101、虚拟专用网络(Virtual Private Network,简称VPN)服务器102、消息队列(Message Queue,简称MQ)服务器103和主服务器104。前置服务节点101与VPN服务器102连接,VPN服务器102与MQ服务器103连接,MQ服务器103与主服务器104连接。前置服务节点
101用于接收第三方平台的消息,并向VPN服务器102发送登录请求,在通过VPN服务器102的安全认证后,通过VPN服务器102与MQ服务器103连接,向MQ服务器推送报文,以及在一些实施例中,前置服务节点101监听MQ服务器的报文,获取报文内容后向第三方平台发送相应的请求。VPN服务器102用于接收前置服务节点101的登录请求,并进行安全认证。MQ服务器103与主服务器104连接,用于主服务器104的报文的收发,同时通过VPN服务器102与前置服务节点101连接,用于主服务器104和前置服务节点之前报文的传输。
101用于接收第三方平台的消息,并向VPN服务器102发送登录请求,在通过VPN服务器102的安全认证后,通过VPN服务器102与MQ服务器103连接,向MQ服务器推送报文,以及在一些实施例中,前置服务节点101监听MQ服务器的报文,获取报文内容后向第三方平台发送相应的请求。VPN服务器102用于接收前置服务节点101的登录请求,并进行安全认证。MQ服务器103与主服务器104连接,用于主服务器104的报文的收发,同时通过VPN服务器102与前置服务节点101连接,用于主服务器104和前置服务节点之前报文的传输。
[0024] 本公开实施例提供的安全通信系统,可以应用于银行财资管理,主服务器104可以是位于银行内网的银行财资管理平台主服务器,或多银行财资系统的主服务器。第三方平台可以是银企直联平台,可以是各商业银行的银企直联代理软件。所谓银企直联(Host-to-Host),就是集团企业在集团内部建立自己的资金管理系统,并与商业银行共同开发内部资金管理系统与商业银行网银系统之间的数据接口,通过数据接口将内部资金管理系统与商业银行网银系统实现联接。因为此模式的银企联接一经启动就无需人工干预,所以被称为银企直联。采用“银企直联”后,企业在自己内部的资金管理系统内进行结算、投资、融资、预算、审批、核算等各种业务管理,所以所有个性化管理全部不再涉及商业银行。之后企业内部资金管理系统自动将需要商业银行服务的业务通过数据接口发送给商业银行;也即通过银企直联平台将服务请求发送给商业银行部署在客户侧的前置服务节点。
[0025] 在一些实施例中,前置服务节点101位于客户侧,VPN服务器102在隔离区(DemilitarizedZone,简称DMZ)搭建,例如在银行的财资管理系统中,可以在银行侧DMZ区搭建VPN服务器,VPN服务器可以为需要接入的客户生成客户端证书。其中,DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于银行内网和外部网络之间的小网络区域内,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
[0026] 在一些实施例中,MQ服务器103在内网区搭建,例如在银行的财资管理系统中,可以在银行侧内网区搭建MQ服务器103,客户侧前置服务节点101登录VPN服务器102后,可以通过VPN服务器102单向访问MQ服务器103。MQ服务器103的搭建使的主服务器104和客户侧前置服务节点101之间的数据传输可以使用消息队列机制,即客户侧前置服务节点101在登录成功后只需要将报文推入到消息队列中,主服务器104即可通过监听MQ服务器的报文来获取报文内容,进行后续处理;同样的,主服务器104也可以向MQ服务器推送报文,前置服务节点101通过监听MQ服务器的消息队列来获取相应的报文,这就实现了主服务器104和客户侧前置服务节点101之间的解耦。
[0027] 在一些实施例中,例如在银行的财资管理系统中,位于银行内网的主服务器104单向打通与MQ服务器103之间的网络。客户侧前置服务节点101和主服务器104通过上述消息队列机制进行通信报文交换。也就是说,在系统中客户侧前置服务节点101和主服务器104互为生产者和消费者,在向银企直联平台发送服务请求时,主服务器104作为生产者,向MQ服务器103推送请求报文,客户侧前置服务节点101作为消费者,监听MQ服务器的消息队列,获取报文内容后向银企直联发送服务请求。接收银企直联返回消息时:客户侧前置服务节点101作为生产者,向MQ服务器推送返回报文,主服务器作为消费者,监听MQ服务器的消息队列,获取报文内容,并进行后续处理。
[0028] 在一些实施例中,可以通过安全套接层(Secure Sockets Layer,简称SSL)证书来保障安全通信系统100中的数据传输安全。SSL证书是用于网络传输加密链接的技术,通过配置和应用SSL证书,可以保证互联网数据传输的安全。客户侧前置服务节点和MQ服务器通过配置双向证书、SSL协议实现双向身份认证;从而对网络数据传输完成安全加固。
[0029] 基于图1所示的安全通信系统,本公开实施例提供一种安全通信方法,如图2所示,该安全通信方法包括以下步骤:
[0030] S201、前置服务节点101登录VPN服务器102;
[0031] S202、前置服务节点101通过VPN服务器102连接消息队列MQ服务器103;
[0032] S203、前置服务节点101通过MQ服务器103与主服务器104进行通信。
[0033] 在一些实施例中,上述前置服务节点位101于客户侧,可以是多银行财资管理系统的前置服务节点;VPN服务器可以为需要接入的客户生成客户端证书。步骤201中前置服务节点可以通过VPN客户端证书以及用户名、口令等密钥信息请求VPN服务器进行安全认证。
[0034] 在一些实施例中,客户侧前置服务节点通过VPN服务器的安全认证,即登录VPN服务器后,可以通过VPN服务器单向访问MQ服务器,VPN服务器与客户侧前置服务节点之间可以使用点对点专用链接的方式传输数据。在一些实施例中,可以通过防火墙策略控制VPN服务器对内只能连接对应的MQ服务器的MQ服务端口;也可以通过VPN定向转发功能,配置对内连接的IP白名单来控制网络访问。如果客户侧前置服务节点未通过VPN服务器的安全认证,即登录失败时,将无法访问MQ服务器。
[0035] 在一些实施例中,例如在银行的财资管理系统中,主服务器位于银行内网,主服务器单向打通与MQ服务器之间的网络。客户侧前置服务节点和主服务器通过MQ服务器,即消息队列机制,进行通信报文交换,实现主服务器和客户侧前置服务节点之间的安全通信。在一些实施例中,可以通过SSL证书来保障步骤203中通信数据传输安全。SSL证书是用于网络传输加密链接的技术,通过配置和应用SSL证书,可以保证互联网数据传输的安全。客户侧前置服务节点和MQ服务器通过配置双向证书、SSL协议实现双向身份认证;从而对网络数据传输完成安全加固。
[0036] 基于上述图1的安全通信系统和图2所述的安全通信方法,本公开实施例还提供一种数据传输方法,该方法可以应用于图1和图2所述的前置服务节点101和主服务器104之前的数据传输。本实施例以银行财资管理系统为例进行说明,并不代表本公开局限于此。参照图3所示,本实施例应用于主服务器向银企直联平台发送服务请求的场景,该场景中主服务器作为生产者,客户侧前置服务节点作为消费者。该数据传输方法包括以下步骤:
[0037] 301、财资系统主服务器向MQ服务器推送请求报文;
[0038] 302、客户侧前置服务节点监听MQ服务器的消息队列,获取报文内容;
[0039] 303、客户侧前置服务节点向银企直联平台发送服务请求。
[0040] 结合图1和图2的描述,可以知道在进行上述数据传输之前,前置服务节点请求VPN服务器进行安全认证,在通过安全认证后登录VPN服务器,通过所述VPN服务器连接消息队列MQ服务器。在通信的过程中,客户侧前置服务节点以监听MQ服务器消息队列的方式获取交易报文,主动发起服务请求,避免了其作为服务端可能存在的风险。同时VPN虚拟专用网络具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点传送数据。MQ服务器只能由VPN服务器访问,单向开通VPN服务器与MQ服务器之间的网络,这就保证MQ服务器的安全。通过上述方法,可以避免客户侧前置服务节点作为服务端向外提供服务,从而避免了被非法攻击的安全隐患。在一些实施例中,可以通过SSL证书来客户侧前置服务节点与银行侧主服务器之间的数据传输进行加固,保证传输层的安全。
[0041] 基于上述图1的安全通信系统和图2所述的安全通信方法,本公开实施例还提供另一种数据传输方法,该方法可以应用于图1和图2所述的前置服务节点101和主服务器104之前的数据传输。本实施例以银行财资管理系统为例进行说明,并不代表本公开局限于此。参照图4所示,本实施例应用于主服务器接收银企直联平台返回消息的场景,该场景中主服务器作为消费者,客户侧前置服务节点作为生产者。该数据传输方法包括以下步骤:
[0042] 401、客户侧前置服务节点向MQ服务器推送报文;
[0043] 402、主服务器监听MQ服务器的消息队列,获取报文并进行处理。
[0044] 结合图1和图2的描述,可以知道在进行上述数据传输之前,前置服务节点请求VPN服务器进行安全认证,在通过安全认证后登录VPN服务器,通过所述VPN服务器连接消息队列MQ服务器。VPN虚拟专用网络具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点传送数据。MQ服务器只能由VPN服务器访问,单向开通VPN服务器与MQ服务器之间的网络,这就保证MQ服务器的安全。在通信的过程中,主服务器以监听MQ服务器消息队列的方式获取报文。在一些实施例中,还可以通过SSL证书来客户侧前置服务节点与银行侧主服务器之间的数据传输进行加固,保证传输层的安全。
[0045] 本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 车辆CAN总线协议确定方法及装置 | 2020-05-08 | 147 |
| 一种计算机网络用集成接口 | 2020-05-08 | 525 |
| 一种计算机网络安全监控装置 | 2020-05-11 | 982 |
| 一种计算机网络运行管理系统 | 2020-05-08 | 303 |
| 一种跨平台综合调度指挥系统用的网络服务器安装柜 | 2020-05-11 | 916 |
| 一种计算机网络身份验证系统 | 2020-05-11 | 717 |
| 一种计算机网络布线实践教学用工具箱 | 2020-05-08 | 595 |
| 一种计算机网络防辐射装置 | 2020-05-08 | 687 |
| 一种计算机网络插口保护结构 | 2020-05-08 | 464 |
| 一种可拆卸式模组化置物盘 | 2020-05-08 | 508 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈